三位一体的漏洞分析方法-web应用安全测试方法
0x00 前言
节选自: http://www.owasp.org.cn/OWASP_Conference/owasp-20140924/02OWASPWeb20140915.pdf
- 4.1 主动式(全自动 ):Web2.0、交互式漏洞扫描
- 4.2 半自动式漏洞分析:业务重放、url镜像,实现高覆盖度
- 4.3 被动式漏洞分析:应对0Day和孤岛页面
0x01 主动式(全自动 )Web扫描
• 使用常见的漏洞扫描器 • 自动fuzz,填充各种攻击性数据 • 业务逻辑混淆,导致服务出错
• 局限: • 难以处理高交互式应用 • 只能发现暴露给用户(搜索引擎)的链接,难以覆盖100%的业务链接 • 解决方法:引入半被动式漏洞分析方法 • 在人工未参与的情况下,50%以上的Web应用系统存在高危漏洞
0x02 半自动式漏洞分析:业务重放+url镜像,实现高覆盖度
1. 方法一:业务重放
- 测试过程使用 burpsuite、fiddler:
- HTTP(S)业务流量录制与重放扫描
- 手工修改业务数据流
- 对手机APP也适用
检测逻辑漏洞: •水平权限绕过 •订单修改 •隐藏域修改
2. 方法二: 手工记录
• 从日志中获取url记录
|
1 2 3 4 |
|
- 从Fiddler2、 burpsuite 导出Url日志 再导入到漏洞扫描器扫描
2.获取Apache、Nginx、Tomcat的access日志
- 360-日志宝
- Splunk
- 各种日志审计系统
- 从旁路镜像中提取url日志 (安全人员不用再被动等待应用 的上线通知) 如:jnstniffer、 360鹰眼、各大IT公司等
• 从旁路镜像中获取url列表,能高效地检出大量的漏洞,不需要运维人员通知,便可以获知业务系统的上线情况并执行漏洞扫描任务。
0x03 半自动式漏洞分析:业务重放、url镜像,高覆盖度
- 局限 ① 时间滞后/token: 流量重发时,不一定能100%重现当时的业务流程及出现的bug。 ② 依然难以覆盖100%的业务链接,存在孤岛页面。(正常数据流不触发) ③ 漏洞检测(防御)技术滞后于攻击技术,无法解决0day漏洞 - 解决方法:引入全被动式漏洞分析
0x04 全被动式漏洞分析:
国外产品:Nessus PVS被动扫描
全被动式漏洞分析(不发送任何数据包)
- 全被动式扫描VS主动式漏洞扫描器 相同点:都是根据双向数据包的内容,判断漏洞是否存在 不同点: 检测方式:被动式扫描不需要联网,不会主动发出url请求,也不发出任何数据包 PVS和IDS的区别: • 更关注漏洞感知,而不是入侵,如页面出现sql错误信息,可触发pvs报警,但不会触发ids报警。 • 报警结果不一样:pvs按照漏洞的风险等级,ids按照黑客的攻击手段报警 • 双向分析数据报文 • 更关注于web应用,OWASP TOP10的攻击手段 • 按攻击影响报警(分析双向报文),而不是按攻击手段去报警(分析单向报文) Nessus的PVS只是一个思路,它专注及网络及主机漏洞,对Web应用的检测能力有限,需要重新设计一个针对web的PVS出来:WebPVS,同步接受用户提交的所有业务请求,通过扫描引擎识别请求,一旦发现恶意请求或者该请求返回数据,触发报警处理
• WebPVS的优点: • 虽然依然难以覆盖100%的业务链接,但是能覆盖100%已经发生的业务链接。 • 能与黑客同步发现各种漏洞 • 由于HTTP协议是固定,因此能够根据回包情况发现0day攻击。
本文章来源于乌云知识库,此镜像为了方便大家学习研究,文章版权归乌云知识库!
三位一体的漏洞分析方法-web应用安全测试方法相关推荐
- html 设置响应X-frame,X-Frame-Options(点击劫持)漏洞分析及web配置修复
漏洞描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段.攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在网页上进行操作,此时用户将在不知情的情况下点击透明的ifram ...
- 手机app测试分析方法 -- 逻辑分析法(数据测试方法)
那么这一篇呢,针对的是逻辑做的灰盒测试,一般是指需求文档上没有的内容,但却是技术方案的核心,逻辑分析针对的就是实现测试. 那么什么是逻辑呢?比方说一个记事本,具有新建,修改删除的功能,如果是功能测试, ...
- 机器学习:软件漏洞分析
Software Vulnerability Analysis and Discovery Using Machine-Learning and Data-Mining Techniques: A S ...
- Microsoft RTF栈溢出漏洞(CVE-2010-3333)漏洞分析
文章目录 漏洞描述 分析环境 RTF文件格式 基于栈回溯的漏洞分析方法 漏洞利用 Office 2003与Office 2007 Exploit通用性研究 漏洞描述 Microsoft Office ...
- 阿里旺旺ActiveX控件ImageMan溢出 漏洞分析
用ComRaider模糊测试 针对ActiveX控件的漏洞分析方法 poc <html><body><object classid="clsid:128D0E3 ...
- 《0day安全:软件漏洞分析技术第二版》
简单说来,这次再版的原因有二: 首先,国人深知与时俱进的道理,技术上面更是如此.随着windows平台保护技术的不断改进,win7的广泛使用,第一版中所述的很多方法已有较大局 限.为此我们逐一搜集了近 ...
- CVE-2010-2883 Adobe Reader TTF字体SING表栈溢出漏洞分析
0x1:漏洞描述 CVE-2010-2883是Adobe Reader和Acrobat中的CoolType.dll库在解析字体文件SING表中的uniqueName项时存在的栈溢出漏洞,用户受骗打 ...
- 论文阅读笔记——基于CNN-GAP可解释性模型的软件源码漏洞检测方法
本论文相关内容 论文下载地址--Engineering Village 论文阅读笔记--基于CNN-GAP可解释性模型的软件源码漏洞检测方法 文章目录 本论文相关内容 前言 基于CNN-GAP可解释性 ...
- 灰帽黑客:正义黑客的道德规范、渗透测试、攻击方法和漏洞分析技术(第3版)
基本信息 灰帽黑客:正义黑客的道德规范.渗透测试.攻击方法和漏洞分析技术(第3版)原书名: Gray Hat Hacking: The Ethical Hacker's Handbook, Third ...
- 银行系统 0day 漏洞挖掘与分析 方法研究——期刊读后心得
读后心得 全文的总体概括 0day漏洞的重要性 0day挖掘方法和模型 0day 漏洞挖掘的未来展望 全文的总体概括 漏洞是网络攻防的武器,是力量提升的重要战略资源,而 0day 漏洞更是核武器,谁掌 ...
最新文章
- 平行志愿计算机检索原理,通俗图解平行志愿,让你明白平行志愿检索规则
- vs2015 全局头文件 库文件引用设置方法
- Python 深度学习,你的 Keras 准备好了吗?
- Linux内核:关于中断你需要知道的【转】
- GDCM:gdcm::Trace的测试程序
- 详解MySQL基准测试和sysbench工具
- 各互联网公司延期上班一览
- 使用JDOM2.0.4 操作/解析xml
- Android画布和图形绘制---Canvas and Drawables(一)
- 员工出错处罚通知_员工被罚款50元!理由是用了单位公厕的厕纸…
- 厉害了,蚂蚁金服!创造了中国自己的数据库 OceanBase
- arm 添加 samb 文件共享
- python卸载_技术 | Python 包安装和卸载的几种方式
- js实现xml转json和json转xml
- CentOS 6.5 Thinkpad 小红点(TrackPoint)设置
- el-empty Empty 空状态 自定义图片 使用本地图片
- [024] 欢迎大家关注我的微信公众帐号小q机器人(xiaoqrobot)
- VR和AR只是入门,真正的元宇宙远不止于此
- elementPlus使用icon图标不显示解决方法
- 全球与中国便携式USB摄像机市场现状及未来发展趋势(2022)